钰泰ETA代理之降压稳压芯片大全【收藏】

钰泰半导体由美国Maxim设计人员创立，以创新的架构、高性能、高可靠性在业界闻名。致力于向客户提供性能优越、功能丰富、品质稳定的多品类、全系列电源管理芯片产品及解决方案。

钰泰半导体已有10类、500余款在售产品种类，包括DC- DC功率转换器、AC-DC功率转换器、LED驱动、电池管理、PMIC、接口保护等。公司产品广泛应用于智能电表、安防、机顶盒、路由器、手机、可穿戴设备、移动电源等终端产品，覆盖工业、消费、通信等多个市场领域。公司可为客户提供周到的售前支持和售后服务，并通过丰富的经验和对产品的深刻理解，加速客户的产品开发进程。

钰泰升压稳压器BoostConverter主要型号有：

降压稳压器(1/4)BuckConverter

型号封装描述

ETA1457SOT23-6轻载高效，通用降压，COT控制，兼容MP1471

ETA1458SOT23-6轻载高效，通用降压，COT控制，兼容TPS563201

ETA1466SOT23-6轻载高效，通用降压，COT控制，兼容MP1470

ETA1467SOT23-6轻载高效，快速响应，COT控制，兼容MP1471

ETA1468SOT23-6定频驱动，通用降压，COT控制

ETA1469SOT23-6定频驱动，通用降压，COT控制

ETA1470FCTSOT23-6轻载高效，通用降压

ETA1471FCTSOT23-6/ESOP8轻载高效，通用降压，兼容MP1471

ETA1476FCTSOT23-6轻载高效，通用降压

ETA1477SOT23-6轻载高效，通用降压T，PCSO56T2控2制01，兼容TPS562200/

ETA1483SOP8轻载高效，通用降压

ETA1485ESOP8轻载高效，通用降压

ETA1486ESOP8轻载高效，输出大电流

ETA1632SOT563轻载高效，快速响应，COT控制，兼容MP1652/MP1657

ETA1650SOT563定频驱动，快速响应，COT控制

ETA1651SOT563定频驱动，快速响应，COT控制

ETA1652SOT563轻载高效，快速响应，COT控制，兼容MP1652/MP1657

ETA1653SOT563轻载高效，快速响应，COT控制，兼容MP1653/MP1658

ETA1654SOT563轻载高效，快速响应，COT控制，兼容MP1654

ETA1655FCDFN2x2-6轻载高效，快速响应，COT控制，兼容MP1655

ETA1656DFN2x2-6轻载高效，快速响应，COT控制

ETA1657DFN2x2-6轻载高效，快速响应，COT控制

ETA1659DFN2x2-6定频驱动，快速响应，COT控制

ETA1660DFN2x2-6定频驱动，快速响应，COT控制

ETA1661SOT563轻载高效，快速响应，COT控制

ETA1662SOT563定频驱动，快速响应，COT控制

ETA1663SOT563定频驱动，快速响应，COT控制

ETA1664FCDFN2x2-6轻载高效，快速响应，COT控制

ETA1665FCDFN2x2-6定频驱动，快速响应，COT控制

ETA1666FCDFN2x2-6定频驱动，快速响应，COT控制

ETA1667SOT563定频驱动，快速响应，COT控制

ETA1751SOT563轻载高效，快速响应，COT控制

ETA1752SOT563定频驱动，快速响应，COT控制

ETA1753SOT563轻载高效，快速响应，COT控制，兼容CD1053

ETA1920DFN3x3-10降压控制器，快速响应，COT控制，频率可选

降压稳压器(2/4)BuckConverter

型号封装描述

ETA2236FDCTFSNO3xT32-31-08/轻载高效，COT控制，兼容MP2236

ETA2237FDCTFSNO3xT32-31-08/定频驱动，快速响应，COT控制

ETA1860ESOP8PoE应用（PSE端降压，或可者调PD端非隔离应用），频率

ETA1805ESOP848V工业应用，频率可调

ETA2805ESOP8线补，频率可调

ETA2806ESOP8HUB应用

ETA2807FCTSOT23-6车充应用，线补

ETA2808ESOP8/DFN3x3-10线补，频率可调，限流可调

ETA2809FCTSOT23-8线补，限流可调

ETA28331ESOP8线补，频率可调

ETA2821SOT23-638V过压保护，高耐压，兼容MP2451

ETA2822ESOP8车充应用，线补，频率可调

ETA2823ESOP8轻载高效，通用降压

ETA2831QFN3x3-16车充应用，线补，频率可调,双口输出

ETA2838ESOP836V耐压，自带QC2.0和PE+快充协议

ETA2841SOT23-638V过压保护，高耐压

ETA2842SOT23-638V过压保护，高耐压

ETA2843SOT23-638V过压保护，高耐压

ETA2845SOT23-637.5V过压保护，高耐压

ETA2847SOT23-6轻载高效，32V过压保护，高耐压，兼容TPS54202H

ETA2848SOT23-637.5V过压保护，高耐压

ETA2890DFN2x3-89uA超低功耗，28V过压保护，频率可调

ETA2892ESOP840V过压保护，高耐压，频率可调

ETA2893ESOP89uA超低功耗，40V过压保护，高耐压，频率可调

ETA2894QFN3x4-249uA超低功耗，40V过压保护，高耐压，频率可调

ETA3406SOT23-5轻载高效，通用降压

ETA3408SOT23-5轻载高效，兼容日系脚位

ETA3409SOT23-5轻载高效，快速启动，兼容TLV62569

ETA3410DFN2x2-8快速启动，兼容NCP6324/TPS62065

ETA3411DDFFNN11.6.5xx11.6-6-6//DFN2x2-8快速启动，NBIOT应用，兼容LM3241

ETA3413SOT23-5定频驱动，通用降压

ETA3414SOT23-5定频驱动，通用降压

降压稳压器(3/4)BuckConverter

型号封装描述

ETA3415DFSNO1T.65x613./6-6轻载高效，通用降压，兼容MP1601/TLV62568

ETA3416SOT23-5轻载高效，通用降压

ETA3417SOT23-5轻载高效，内部补偿，兼容SY8089/TLV62569

ETA3418SOT23-5定频驱动，通用降压

ETA3423DFSNO1T.65x613./6-6定频驱动，通用降压，兼容TLV62568A

ETA3424SOT23-5定频驱动，固定输出1.2V/2.5V/3.3V

ETA3425SOT23-5/DFN2x2-6快速响应，超低功耗，NBIOT

ETA3426SOT23-5/DFN2x2-6快速响应，超低功耗，NBIOT

ETA3427SOT23-5/DFN2x2-6快速响应，超低功耗，NBIOT

ETA3448SOT23-5定频驱动，快速响应，COT控制

ETA3451DFN2x2-8轻载高效，快速响应R，CTO57T1控5制，兼容TLV62084/

ETA3452SOT23-6轻载高效，快速响应，COT控制

ETA3453DFN2x2-8/SOT23-6轻载高效，快速响应，COT控制,宽输入范围

ETA3457QFN-12轻载高效，电感内置

ETA3458SOT563定频驱动，快速响应，COT控制

ETA3484DFN2x2-8轻载高效，2路输出

ETA3485SOT23-5轻载高效，RF射频应用，兼容TLV62568/SY8088

ETA3486SOT23-5轻载高效，通用降压

ETA3496SOT23-5轻载高效，12V耐压，防输入浪涌

ETA3499SOT23-6轻载高效，9V耐压，防输入浪涌，兼容SY8032

ETA3511SOT563轻载高效，通用降压，兼容SY8893

ETA3512SOT563轻载高效，通用降压，兼容SY8892

ETA3514DFN2x2-8轻载高效，通用降压，兼容RT5797A

ETA3515SOT563轻载高效，通用降压，兼容MP1605/TLV62569

ETA3517SOT563定频驱动，通用降压，兼容SY8892EE

ETA3518SOT563轻载高效，通用降压，兼容TLV62585

ETA3521SOT563轻载高效，通用降压，兼容MP1603

ETA3525SOT563定频驱动，通用降压，兼容MP1605C

ETA3526SOT563轻载高效，通用降压，兼容MP1602

ETA3527SOT563定频驱动，通用降压

ETA3531SOT563轻载高效，通用降压，兼容MP1603

ETA3555CSP-20智能手机/平板主控供电

ETA355CCSP-20平板主控供电

降压稳压器(4/4)BuckConverter

型号封装描述

ETA355DCSP-20展讯4G平台定制，兼容FAN53555

ETA355ECSP-20智能手机/平板主控供电

ETA3560DFN2x2-6轻载高效，MTK穿T戴P方S6案25，6展0讯手机方案，兼容

ETA3655CSP-20智能手机供电，展讯方案，ADI快速调压

ETA3707CSP-8/DFN2x2-8轻载高效，超低功耗，兼容RT5707

ETA4000SOP8采用高效的电容电荷转换,无电感

ETA8010DFN2x2-6轻载高效，兼容RT8010

ETA8103SOT23-6定频驱动，快速响应，COT控制，兼容SY8113C

ETA8110SOT23-6定频驱动，快速响应，COT控制，兼容SY8121B

ETA8111SOT23-6定频驱动，快速响应，COT控制

ETA8113SOT23-6轻载高效，快速响应，COT控制，兼容SY8113

ETA8120SOT23-6轻载高效，兼容SY8120

ETA8121SOT23-6定频驱动，通用降压，兼容SY8121

ETA8123SOT23-6定频驱动，快速响应，COT控制

ETA8156FCTSOT23-6轻载高效，兼容SY8156

ETA8210SOT23-6定频驱动，快速响应，COT控制

ETA8211SOT23-6轻载高效，快速响应，COT控制，兼容SY8120

ETA8213SOT23-6轻载高效，快速响应，COT控制，兼容SY8113

ETA8220SOT23-6轻载高效，快速响应，COT控制，兼容SY8120

ETA8222SOT23-6轻载高效，快速响应，COT控制

ETA8291DFN3x3-10双路输出，轻载高效

ETA8322SOT23-6轻载高效，快速响应，COT控制

ETA9338DFN3x3-12高集成度，3路输出，机顶盒，摄像机等

ETA9351QFN4x4-24高集成度，3路输出，机顶盒，摄像机等

钰泰ETA|钰泰代理|钰泰代理商|钰泰一级代理|钰泰核心代理|钰泰总代理|钰泰官网|钰泰产品线|钰泰产品大全|钰泰规格书|钰泰产品目录|钰泰芯片|钰泰datasheet|钰泰选型手册|钰泰选型指南|钰泰产品手册|钰泰参数|钰泰介绍|钰泰替代|钰泰常用型号|钰泰原装

钰泰电源管理| 钰泰DC/DC功率转换器 |钰泰AC/DC功率转换器 |钰泰LDO |钰泰充电IC |钰泰升压IC|钰泰降压IC

深圳市鑫富立科技有限公司是一家销售各类芯片为主的综合性电子元器件供应商。经过近十年的发展壮大，公司现已有几十个品牌上万种各种型号规格的产品。我们代理分销的品牌有：圣邦微SGMICRO、钰泰ETA、中科微AT、和润HT、希荻微HALO、矽力杰、纳芯微 NS、智浦欣微、微盟、如韵电子、艾为AWINIC、广芯、拓尔微、天微、明皜、松翰、微源、芯联chiplink、南麟、太诱TAIYO、芯导、华新科、好达、富满、博雅BOYAMICRO、爱普生、精工、TXC、KDS、帕创Partron等，以及ST、GD、TI、MPS、ADI、VISHAY威仕、赛灵思Xlinix、英飞凌INFINEON、微芯MICROCHIP、华邦WINBOND、美信MXIC、NXP恩智浦等。

深圳市鑫富立科技有限公司独有优势正规的货源渠道，在香港与深圳均设有合作仓库。公司为中国供应商认证芯片供应商，可开增票。深圳市鑫富立可以为终端客户提供售前咨询、快速报价发货、FAE支持，也可以提供紧缺物料的订购。

深圳市鑫富立科技有限公司专营钰泰全系列芯片，钰泰常用型号均备有现货，欢迎咨询，极速报价，可实现下单后两天内快速发货，可FAE支持。

若需要钰泰ETA系列芯片，请联系深圳市鑫富立科技有限公司Tel&VX/13715315341

APT组织在Android、Windows、Linux系统部署新型组件披露

大家好，我是老李。今天老李给大家分享一个APT组织，其编号为APT-C-56，中文名透明部落。据了解，此组织是一个具有政府背景的高级持续性威胁组织，其长期针对周边国家和地区的军队和政府机构实施定向攻击，目的是收集各类情报。

近期，360烽火实验室与360高级威胁研究院在追踪一起针对印度的移动端攻击活动中发现了分别针对Android系统和Windows系统、Linux系统的新型攻击工具，通过分析本次攻击活动的攻击手法和攻击对象，以及对Windows系统攻击工具进行溯源关联，我们将本次攻击活动归因于透明部落组织。

在本次攻击活动中，透明部落组织使用伪装成印度国家奖学金门户、印度陆军福利教育学会等的钓鱼页面窃取特定用户信息。同时借助Android和Windows、Linux三个系统的新型攻击工具进行信息窃取活动，其中Windows系统包括两个版本。

一、攻击活动分析

1.攻击流程分析

我们将攻击活动按照平台类型分为两类，一类是针对移动端的攻击活动，另一类是针对PC端的攻击活动。

在移动端上，攻击者使用钓鱼网站进行载荷投递，投递的载荷属于新型的Android RAT样本，样本除了具备RAT的功能外，在运行时会通过加载钓鱼页面窃取用户ID信息。

图1 移动端流程

在PC端上，攻击者首先使用和移动端类似的钓鱼页面诱导用户输入ID信息，然后向用户投递Windows系统、Linux系统的新型数据泄露工具，进而进行数据窃取活动。

图2 PC端流程

2.载荷投递分析

本次攻击活动中，两个平台均使用了钓鱼网站进行样本的投递。Android样本的投递使用了伪装成印度国家奖学金门户的钓鱼网站。钓鱼网站打开后会弹出“重要提示”提示框，诱导用户下载ScholarshipPortal.apk安装包文件，该文件即为Android系统新型RAT工具。

图3 虚假印度国家奖学金门户网站

PC端样本的投递使用了伪装成印度陆军福利教育学会的钓鱼网站。该钓鱼网站打开后和伪装成印度国家奖学金门户的钓鱼网站类似，同样会弹出一个“重要提示”提示框，不同的是用户点击后会进入一个提交Studient ID的钓鱼页面，提交ID后会出现三个文件下载的按钮，下载的文件对应该组织新开发的Windows系统LimePad组件以及Linux系统的波塞冬组件。

图4 虚假印度陆军福利教育学会网站

图5 投递PC端样本

3.攻击样本分析

Android系统

针对Android系统的攻击样本属于新型的RAT家族，我们将其命名为RlmRat，之前虽有厂商进行过披露，但是并没有提到家族的归属。本次发现的该家族样本通过伪装成奖学金门户应用进行传播，基本信息如下：

样本MD5

B155C5B5E34FE9A74952ED84D6986B48

包名

com.example.batman

应用名

Scholarship Portal

下载地址

https://www.govscholarships[.]in/ScholarshipPortal.apk

样本运行后会使用WebView加载hxxps://govscholarships[.]in/cfm.php页面，该页面会收集用户Student ID信息，输入Student ID并点击提交，页面会向该钓鱼地址发送GET请求“https://govscholarships.in/cfm.php?search=【Student ID】&submit=”从而泄露用户信息。

图6 样本运行截图

图7 加载钓鱼页面的代码

该家族样本常使用Pastebin服务来获取真实的C&C地址，如果无法从Pastebin获取C&C，它会选择硬编码的地址。但是，本次分析的样本没有使用Pastebin服务，而是直接使用的硬编码的IP地址。

图8 使用硬编码的IP地址

样本具备远控功能，可以从受害者的设备中窃取敏感数据，例如联系人、通话记录、短信、位置、外部存储中的文件、录制音频等。恶意包结构和相关功能如下：

图9 恶意包结构

指令对照表：

指令

功能

y#0T5$, f%R7!2, Nw39Jf, 8$R%j1

获取文件目录

j*7e@4, i1$r@5, v^3w%2, u6%y@1

拍照

bx$@81, u4Q&0#

搜索文件

5w$I!7, 9$g1E@

获取文件

D%r6t*

获取短信

s%7n@2

获取联系人

i*g4#3

获取通话记录

O@y7J&

录音

1^R$4t

获取WhatsApp文件

*%12gT

获取位置信息

Windows系统

从钓鱼网站我们分别下载到了Windows、Linux两个系统的样本，可以看出透明部落针对多平台的攻击能力。下面我们逐一分析各个平台的相关功能。

Windows系统样本由Python脚本编写，用PyInstaller编译并打包的恶意二进制文件保存在VHDX格式中的，我们发现的VHDX文件大于60MB。

Windows系统的RAT包含两个版本，一个版本文件保存在VHDX格式中，一个版本的样本由压缩包保护，破解压缩包密码后我们发现两个版本的代码基本相同，主要区别是对于RAT的命名不同，以及使用C&C不同，我们的分析以VHDX版本进行。

图10 VHDX版本的RAT

图11 RAR版本的RAT

打包的Python脚本被命名为LimePad，后门主要的功能是窃取中招用户机器上的指定后缀名文件，它通过Sqlite数据库记录、同步窃取文件的列表，数据库中的字段保存了上传、修改文件的最新时间记录，确保所有重要文件都被及时、有效的上传。

LimePad进行初始化：

通过controls文件中保存的配置信息初始化：

字段

含义

VERSION

0.1-18

版本号

STARTDATA

Startup\\Limepads

通过启动项持久化

ROOTDATA

APPDATA\\Limepads

USERFILE

Limepads.db

本地 SQLite 数据库的名称

LOGFILE

Limepads.log

TEMP_UPLOAD_FOLDER

APPDATA\\Limepads\\tup

LOCKDOORS

'URL=file:///' + sys.executable

互联网快捷方式

DOORS

'.dll', '.url'

Windows URL 快捷方式

SERVERS

142.93.212.219

DUSSEN

696E646961

包含india字符串的十六进制编码，用于判断时区

SERVER_PUBKEY

-

-

随后与C&C通信判断C&C是否依然可用：

向服务器上的bind.php页面发送GET请求。判断服务器是否运行：

将用户名和密码向服务器上的页面information.php发送POST请求：

将文件发送到C&C的指定页面adjustfile.php：

上传文件之前，文件匹配规则还会先筛除一些无用的后缀名文件以及隐藏文件：

针对HOME、FIXED和REMOVABLE驱动器配置了一组不同的文件扩展名规则，用来上传文件。上传的文件包括文档格式、电子邮件本地数据库（DBX）和各种AutoCAD绘图文件和计算机辅助设计矢量图（DWG、DXF）。

SYNC_RULES_CONFIG

*.pdf

*.txt

*.doc*

*.xls*

*.ppt*

*.mdb*

*.dwg

*.dxf

*.dbx

操作Sqlite数据库对文件记录进行保存同步：

数据库的字段同样保存在controls中配置：

数据库字段

含义

PATH

路径

FILENAME

名称

SIZE

大小

STATE

状态

MODIFIED

修改时间

CREATED

创建时间

QUEUEPRIORITY

队列

DEFERTILL

-

RPATH

-

Linux系统

此次我们新发现Linux系统的样本，同样是由python脚本编写，用PyInstaller编译并打包的恶意二进制文件。这疑似是透明部落首次开始针对Linux系统开发新型武器库组件。

针对Linux系统，首先打开钓鱼网站的confirmationID.pdf文件，伪装成印度陆军福利教育学会的id生成页面，欺骗用户。

图12 伪装文档

随后创建share目录，创建mycron文件夹作为log日志，周期性的记录登录名。

从恶意网站下载bosshelp文件并运行。下载后的bosshelp文件是开源渗透框架神话的二进制组件。

其在神话框架的波塞冬组件上增加了xgb库来与Linux协议进行通信。

组件的主要功能如下：

功能列表

屏幕捕获

键盘记录

上传和下载文件

持久保存

记录击键

注入

截屏

远程管理

二、基础设施分析

在我们分析钓鱼网站过程中，发现了一些或许能够证明透明部落组织真实归属的线索，现进行披露，仅供安全研究人员参考。

域名

注册厂商

注册日期

解析IP

GOVSCHOLARSHIPS.IN

NameSilo, LLC

2022-09-28

153.92.220.48

AWESAPS.IN

NameSilo, LLC

2022-09-19

153.92.220.48

移动端和PC端的钓鱼网站域名解析的IP地址均为153.92.220[.]48，且两个域名的注册商均是NameSilo, LLC，钓鱼网站证书的有效期都只有三个月。通过这些信息的启发，我们依据153.92.220[.]48这个IP地址，在排除一些噪点后发现了一批可疑的域名。

可疑域名汇总：

域名

注册厂商

注册日期

KAVACH-APPS.COM

NameSilo, LLC

2022-08-06

KSBOARD.IN

NameSilo, LLC

2022-08-18

DESW.IN

NameSilo, LLC

2022-07-27

RODRA.IN

NameSilo, LLC

2022-08-18

KAVACH-APP.IN

NameSilo, LLC

2021-12-13

SUPREMO-PORTAL.IN

NameSilo, LLC

2021-11-08

CSD-INDIA.IN

NameSilo, LLC

2022-02-15

KAVACH-MAIL.IN

NameSilo, LLC

2022-04-18

RSIPUNE.IN

NameSilo, LLC

2021-12-29

WELLINGTONGYMKHANACLUB.IN

NameSilo, LLC

2021-11-26

通过对抓取的可疑域名进行相关扩线分析，我们将域名分为四组：

1.针对印度进行的信息窃取攻击

域名

注册厂商

注册日期

KAVACH-APPS.COM

NameSilo, LLC

2022-08-06

KSBOARD.IN

NameSilo, LLC

2022-08-18

DESW.IN

NameSilo, LLC

2022-07-27

RODRA.IN

NameSilo, LLC

2022-08-18

通过查询开源情报，我们得知这四个域名涉及到2022年发生的一起攻击者对印度进行的旨在窃取敏感信息的攻击活动。攻击者使用钓鱼网站收集印度国防人员的信息，这种做法和本次透明部落组织通过钓鱼页面收集Student ID信息的做法有很大的相似性。

2.透明部落组织Windows系统攻击活动

域名

注册厂商

注册日期

KAVACH-APP.IN

NameSilo, LLC

2021-12-13

SUPREMO-PORTAL.IN

NameSilo, LLC

2021-11-08

kavach-app[.]in域名属于透明部落组织的已知网络资产，曾在公开报告中被披露。

supremo-portal[.]in域名也曾被安全人员以推文的形式披露，需要注意的是，透明部落组织和SideCopy组织具有很强的关联性，两者可能属于同一组织或有较大关联。

图13 开源情报

3.透明部落组织的多平台钓鱼攻击活动

域名

注册厂商

注册日期

伪装对象

WELLINGTONGYMKHANACLUB.IN

NameSilo, LLC

2021-11-26

https://wellingtongymkhanaclub.co.in/（为驻扎在惠灵顿的驻军提供娱乐和放松的俱乐部）

Wellingtongymkhanaclub[.]in域名伪装成印度惠灵顿健身俱乐部官网，该俱乐部为驻扎在惠灵顿的驻军提供娱乐和放松等服务。

此钓鱼网站打开后的形式和本次发现的分别针对移动和PC端的钓鱼网站相似，也是弹出“重要提示”提示框，点击后会进入一个提交会员号的钓鱼页面。因此该域名也应该属于本次透明部落组织的多平台钓鱼攻击活动。

图14 虚假惠灵顿健身俱乐部网站

图15 钓鱼页面

4.其它疑似钓鱼域名

域名

注册厂商

注册日期

伪装对象

CSD-INDIA.IN

NameSilo, LLC

2022-02-15

https://csdindia.gov.in/（食堂商店部是印度政府下属的国防部组织）

KAVACH-MAIL.IN

NameSilo, LLC

2022-04-18

https://kavach.mail.gov.in（Kavach为用户访问其政府电子邮件服务提供双重身份验证）

RSIPUNE.IN

NameSilo, LLC

2021-12-29

https://www.rsipune.org/（浦那的Rajendra Sinhji军队会议和研究所(RSAMI)）

这些域名虽然没有样本与之关联，也没有开源情报记录，但是其伪装的对象极具针对性，全部都是针对的印度政府和军队相关人员。

三、归属研判

能够将本次同时针对多个平台的新型攻击活动归属于透明部落组织，主要有两个方面的原因。首先主要是基于对Windows系统相关攻击样本的分析溯源。其次是基于对攻击者使用的攻击手法和攻击对象以及基础设施的分析。

2022年11月3日，国外安全厂商Zscaler披露了APT-C-56（透明部落）使用新的TTPs和新工具来瞄准印度政府组织。其报告中分析的新工具和我们本次捕获的Windows系统相关攻击工具均为LimePad组件，且应该属于同一起攻击事件。

图16 Zscaler披露的LimePad组件

图17 本次发现的LimePad组件

在本次攻击活动中攻击者使用钓鱼网站对印度军方人员实施定向攻击，其攻击手法和攻击对象均和透明部落组织相符。并且钓鱼网站的域名解析的IP地址也曾被透明部落历史攻击活动中使用的域名解析过。综合以上信息，我们将本次攻击活动归属于透明部落组织。

四、总结

透明部落组织一直是南亚地区比较活跃的APT组织，其主要针对印度军事人员、政府人员进行定向攻击。本次发现的针对多个平台的攻击活动，均使用了新型的攻击工具，且擅长利用钓鱼网站，说明了他们的攻击武器库在不断更新，攻击平台在逐渐增加，网络资产也在不断增加。

附录 IOC

Android：

b155c5b5e34fe9a74952ed84d6986b48

173.249.38.99:3617

https://govscholarships.in/cfm.php

https://www.govscholarships.in

https://www.govscholarships.in/ScholarshipPortal.apk

PC：

61dcf97244ab770fec9688cd11f3ddff

3a142299eb85e60c0e52d34068d605ca

548a0309e5fa3fc1beb83e68a70aaa45

ac3f2c8563846134bb42cb050813eac8

dc79801505b3663cd157ffbe53b0678b

142.93.212.219

139.59.23.88

https://www.awesaps.in/cfm.php

https://www.awesaps.in/confirmationslip.zip

https://www.awesaps.in/Confirmation_ID.rar

https://www.awesaps.in/Confirmation_id.vhdx

参考

1)https://blog.cyble.com/2022/01/28/indian-army-personnel-face-remote-aC&Cess-trojan-attacks/

2)https://infosecwriteups.com/operational-methodologies-of-cyber-terrorist-organization-transparent-tribe-3389bdc1db3e

3)https://cloudsek.com/whitepapers_reports/malicious-clones-of-indian-army-apps-used-in-espionage-campaign-targeting-army-personnel/

4)https://www.manavmitra.co.in/?p=16188

5)https://www.divyabhaskar.co.in/local/gujarat/ahmedabad/news/after-the-partition-of-india-pakistan-the-family-stayed-in-pakistan-the-young-man-joined-hands-with-the-isi-to-meet-the-family-130369978.html

6)https://ahmedabadmirror.com/alleged-spy-got-people-pak-visas-via-diplomatic-contact/81845617.html

7)https://www.secrss.com/articles/39368

8)https://blog.talosintelligence.com/2022/03/transparent-tribe-new-campaign.html

9)https://mobile.twitter.com/JVPv5sIM3eFmGyi/status/1547480724806447104

10)https://www.zscaler.com/blogs/security-research/apt-36-uses-new-ttps-and-new-tools-target-indian-governmental-organizations

来源：360威胁情报中心

13岁女孩花70万约稿闹上热搜！家长怒了，画师道歉了，网友吵翻了……

今天（7日）

一名微博网友发出的一条投稿

在绘画圈内引发轩然大波

一名13岁女孩花70万元

瞒着家里找画师约稿

家长发现后要求画师退款

此事曝光后迅速冲上微博热搜

引发大批圈内圈外的网友围观

约稿花了70万

这个“天价”让网友炸锅

约稿指的是约稿方与画手进行的一种交易，即约稿方将自己的要求告诉画师，并支付相应的价格，画手则将按约稿方的要求画出作品。

13岁女孩约稿花了70万，这巨大的金额让网友们直接“炸”了：到底约了什么“人间哪得几回闻”的神仙画稿，需要70万？

根据原始投稿显示，70万的价格并非只是约了其中一张稿子，而是好几张稿，时间跨度有数月之久。其中，最贵的一张稿子来自画手@白琴，价值为7万元人民币。

（图源：微博 @有钱人发稿bot 投稿图片）

同时

这张价值7万人民币的画稿

也被曝光

↓↓

花了7万就为了买一幅只能“自己欣赏”的画？许多网友都表示不理解。

据介绍，这位13岁女孩名叫“芙芙”，她的母亲在发现女儿花了70万约稿之后，查询了转账记录，立即与包括@白琴 在内的八位画手取得了联系，表示自己的女儿是“未成年人”，要求画手进行退款。

以下是芙芙母亲用芙芙的社交账号

与画手们进行的聊天记录截图

↓↓

看完芙芙母亲与画师交涉的聊天记录后，有的网友表示：“这个母亲的态度也太不好了吧？”

但也有网友说：“你发现自己孩子几十万约了这个，不是圈内人也会觉得自己孩子被骗了吧？”

但直到现在，也没有确切的消息说明“70万约稿”中，该数目的真实性。只知道确有其事（画手“白琴”在自己的微博中表示已与芙芙母亲视频确认身份，并已协商退款6万元），而这笔约稿的数目并不小；画手“白琴”的价值7万的稿子也确实存在。

@白琴：约稿前对方称自己是“成年人”

在今天凌晨3点31分时，画手@白琴 在微博个人账号上公开回应了此事，她梳理公布了她所知道的事发全部过程，并表示自己已经退款，说明“直到芙芙的妈妈来找自己，才知道芙芙是未成年人”。

对于这件事，画师@白琴 表示：

在芙芙母亲联系她之前，她一直相信芙芙的社交信息，即芙芙是成年人。

自己拒绝过芙芙约稿的请求，但芙芙坚持约稿，她最后才同意的。

7万的价格是由芙芙主动提出。

芙芙经常在“圈内”进行大额消费，已经小有名气。

她已与芙芙母亲视频确认身份，并已协商退回了6万元

自己会申报个人所得报酬依法进行纳税。（后续微博表示自己刚毕业没有工作未达到缴纳税款标准）

△ @白琴 发布第二则微博就此事进行说明与道歉

今天中午，@白琴再次发微博表示，芙芙自称成年人，多次自带价格前来找她约稿，“我只是一个普通人从没有人以这么高价格约我，没有严格去和对方签署对应合同就接下了这个稿件，对此我感到十分抱歉”。

她坚称，自己没有做出任何诱导未成年消费的行为，“其实事发到现在有很多想说的，我反省过自己，也质疑过自己。可错了就是错了，我不否认自己的疏忽……对于此事不会再做出任何回应，我只想专心画画而已。”

值得一提的是，@白琴 透露，这件事牵扯到很多画师，70万的金额是芙芙母亲告知她孩子约稿半年内消费总数，但就目前@白琴 等人联系得上的几十位画师来看，数额加起来都远没有70万。

画师的声明一出

吃瓜网友们顿时分成了两派

一些人对@白琴 表示同情

但也有很多网友并不买账

“7万一幅画，真的合理吗？”

对于绘画圈的约稿价格

网友们也吵个不停

有人觉得绘画圈的约稿价格就是被人“炒”上去的，有许多热门画手不但要价高昂，甚至还需要“排单”。但终究是“一个愿打一个愿挨”，当消费者同意约稿的时候就相当于已经接受价格，同时画手也付出了自己的时间和心血，到底“值不值”不应由圈外人来评判。

也有网友认为，难道这个圈子里的画手都能拿到如此高额的佣金吗？如果对自己的水平足够自信，完全可以去更大的艺术平台进行创作，为何又只做一个“圈内人”呢？

虽然画手已经正面回应，7万的价格是芙芙自己提出的，大多圈内人认为“的确值得这个价格”。但纵观这个绘画圈，许多网友作为“圈外吃瓜人士”，都纷纷表示不理解：一副自我欣赏的画就值7万，是贫穷限制了我的想象？还是我根本就不了解艺术？

这笔钱，该不该退？

在“天价约稿”的消息被曝光引发关注后，@白琴 说，自己在核实芙芙母亲身份后，退还了6万元。那么问题来了，这件事中芙芙瞒着家里约稿的花费，是否应该退还呢？

此前，未成年人打赏主播、玩游戏大额氪金等事件，也一度引发社会关注，东方网记者也曾就“未成年人打赏主播”、“未成年人大额氪金”等问题曾专门询问过律师。上海通佑律师事务所合伙人朱海洋律师表示，未成年人进行此类消费的，在法定代理人未追认的情况下，买卖行为无效。

《民法典》第十九条规定：

“八周岁以上的未成年人为限制民事行为能力人，实施民事法律行为由其法定代理人代理或者经其法定代理人同意、追认；但是，可以独立实施纯获利益的民事法律行为或者与其年龄、智力相适应的民事法律行为。”

未成年进行的民事法律行为都是需要法定代理人追认才生效的。所以在法定代理人未追认的情况下，买卖行为无效。

《民法典》对无效合同的处理也做了相应的规定：

《民法典》第一百五十七条规定，“民事法律行为无效、被撤销或者确定不发生效力后，行为人因该行为取得的财产，应当予以返还；不能返还或者没有必要返还的，应当折价补偿。有过错的一方应当赔偿对方由此所受到的损失；各方都有过错的，应当各自承担相应的责任。法律另有规定的，依照其规定。”

因此，如果芙芙确为未成年人，就属于限制民事行为能力人，在芙芙的法定代理人即监护人未确认的情况下，该“约稿”所形成的“买卖行为”无效。但鉴于芙芙确实收到部分画手已经画完的稿子，也理应给予画手一定补偿。

朱律师也提到，发生此类问题，不应是“一边倒”的过错，要规避上述问题需要多方共同努力，就监护人而言，其应更加关注自己的孩子，保护好个人账户信息，尤其是银行卡的支付密码。

来源：东方网综合

http://mp.weixin.qq.com/s?__biz=MjM5OTkwMzc4Mg==&mid=2652199150&idx=1&sn=9b7ca8ca01db651c18e7cece1461a8ea&chksm=bcd5afa78ba226b1fcac5819eb2d4a349f264abd2de6cdb18b8b5ed44ddff321bd719c155bf7&scene=0&xtrack=1#rd

来源： 东方网